IDP Klar med IdP – konfiguration og tilslutningsproces til STS Adgangsstyring

FORMÅL MED DENNE PRÆSENTATION At I får et klart billede af: 1.Hvilke krav KOMBIT stiller til konfiguration af jeres IdP 2.Hvordan får I tilsluttet jeres IdP til eksternt testmiljø 3.Hvad I skal gøre for at løse opgaven rettidigt – det vil sige inden d. 12. august, 2016

Emner Kort introduktion til  Jobfunktionsroller  Brugersystemroller  Dataafgrænsninger  De 2 scenarier Den lokale Identity Provider  Tilslutning til støttesystemerne  KOMBITs attributprofil  Jobfunktionsroller og OIO-BPP  Dynamiske & statiske dataafgrænsninger  Test af tilslutning Spørgsmål og svar

JOBFUNKTIONSROLLER, BRUGERSYSTEMROLLER & DATAAFGRÆNSNINGER

Hvad er en Jobfunktionsrolle? En jobfunktionsrolle er et sæt af rettigheder, der tilsammen gør det muligt for en medarbejder at udføre en funktion. En jobfunktionsrolle kunne være ‘Økonomimedarbejder’, ‘Sagsbehandler’ eller ‘Leder’. Teknisk består en jobfunktionsrolle af et sæt af brugersystemroller, hvor disse brugersystemroller kan komme fra forskellige it-systemer.

Hvad er en Brugersystemrolle? En Brugersystemrolle er et sæt af rettigheder i et bestemt it- system (fx SAPA). En Brugersystemrolle kan dataafgrænses på udvalgte områder (fx KLE emneområde eller Organisatorisk Enhed). Ikke alle systemer anvender dataafgrænsninger, fx har KSD og E&E ikke nogen dataafgrænsninger Dataafgrænsninger er optionelle, og hvis de ikke udfyldes, kan brugersystemrollen anvendes på alle tilgængelige data!

Datamodel Fx KLEFx * Administreres af kommunen Administreres af it-leverandør

EKSEMPEL PÅ EN JOBFUNKTIONSROLLE

SAPA Brugersystemroller (lille uddrag) BrugersystemrolleDataafgrænsninger Begrænset visning af sagerKLE, Følsomhed, Organisatorisk Enhed Begrænset visning af sager og ydelser KLE, Følsomhed, Organisatorisk Enhed Fuld visning af sager, ydelser og dokumenter KLE, Følsomhed, Organisatorisk Enhed Opret journalnotater på partKLE Opret bemærkninger Visning af adviser i OverblikKLE, Følsomhed, Organisatorisk Enhed

En ”SAPA” Jobfunktionsroller JobfunktionsrolleBrugersystemrolleDataafgrænsning SagsbehandlerFuld visning af sager, ydelser og dokumenter KLE Følsomhed Organisatorisk Enhed Opret Journalnotat på partKLE Visning af adviser i overblikKLE Følsomhed Organisatorisk Enhed

HVORDAN TILDELES DATAAFGRÆNSNINGSVÆRDIER?

Prototype

Praktisk info om dataafgrænsningsværdier Dataafgrænsningsværdier kan tildeles den enkelte bruger på login tidspunkt (dynamisk) eller registreres direkte på jobfunktionsrollen (statisk) Dynamiske værdier har den fordel, at jobfunktionsroller kan genbruges i forskellige sammenhæng Fx en ”læse-rolle” der tildeles mange medarbejdere, men dataafgrænses individuelt Dynamiske værdier stiller dog større tekniske krav til den kommunale implementering af Identity Provider

DE 2 SCENARIER

Til netværksdagene gennemgik vi 2 scenarier Vallensbæk Kommune har i dialog med KOMBIT udarbejdet 4 forskellige implementeringsscenarier, baseret på en AD FS installation. 2 af disse blev præsenteret på STS netværksdagene 1.Mappe AD sikkerhedsgrupper til Jobfunktionsroller, uden anvendelse af dynamiske dataafgrænsningsværdier 2.Mappe AD sikkerhedsgrupper til Jobfunktionsroller, med anvendelse af dynamiske dataafgrænsningsværdier Materiale fra STS netværksdagene er sendt til deltagerne

Er I en løsningsscenarie 1 kommune….? Og ønsker I den nemme tilgang, hvor I blot skal installere en plug-in til jeres IdP…. Så, har Den Storkøbenhavnske Digitaliseringsforening allerede gjort arbejdet for jer De har udviklet et plug-in der er designet til løsningsscenarie 1 Plug-in er baseret på MS ADFS I kan downloade plug-in her:

DEN LOKALE IDENTITY PROVIDER

HVORDAN TILSLUTTES IDENTITY PROVIDEREN?

Overblik 1.Støttesystemet adgangsstyring for brugere (Context Handleren) registreres i Identity Provideren som en Service Provider / Relying Party. 2.Metadata udtrækkes af Kommunens Identity Provider, og registreres i adgangsstyring for brugere 3.Identity Provideren tilpasses/konfigureres til at overholde KOMBITs Attributprofil 4.For at teste at integrationen er korrekt udført, gennemføres et login mod et demo-system opsat af KOMBIT

1. REGISTRERING AF CONTEXT HANDLER SOM RP/SP

Registrering af metadata i Identity Provider Metadata (en XML fil) for adgangsstyring for brugere kan downloades direkte fra støttesystemerne Test-miljø Produktions-miljø Typisk er registrering af metadata en del af oprettelses- processen når man opretter en ny Service Provider i sit Identity Provider produkt

Registrering af metadata i Identity Provider (Safewhere Identify)

Registrering af metadata i kommunal Identity Provider (Safewhere Identify)

Registrering af metadata i Identity Provider (AD FS 3.0)

Registrering af metadata i kommunal Identity Provider (AD FS 3.0)

Registrering af metadata i Identity Provider (OpenAM)

2. METADATA UDTRÆKKES OG REGISTRERES HOS KOMBIT

Udtræk metadata fra Identity Provider Metadata fra kommunens egen IdP kan downloades fra den server hvor IdP’en er installeret Safewhere Identify /runtime/saml2/metadata.idp AD FS /FederationMetadata/ /FederationMetadata.xml OpenAM /openam/saml2/jsp/exportmetadata.jsp?entityid=

Udtræk metadata fra Identity Provider Krav om anvendelse af OCES certifikat

Registrering af metadata hos KOMBIT Mind mig på at vi skal forsøge at udfylde en blanket sammen inden vi slutter for i dag!

Sådan er proceduren…. 1.Download blanket I skal udfylde en anmodning om føderationsaftale til det eksterne testmiljø – hent den på kombit.dk/implementering 2. Udfyld blanket KMD tilbyder support i forbindelse med jeres test -I skal derfor huske at angive dato for, hvornår I forventer at teste 3. Send blanketten til KMD -Send den til 4. KMD opretter føderationsaftale -KMD orienterer jer om at aftalen er oprettet 5. I tester

Når metadata er udvekslet

3. IDENTITY PROVIDER TILPASSES KOMBITS ATTRIBUTPROFIL

ATTRIBUTPROFILEN

KOMBIT Attributprofil Krævede attributter Standard formatering, Serial skal være unik! Lad os snakke om den her lige om lidt…

Statiske attributter (Identify)

Statiske attributter (AD FS 3.0)

Statiske attributter (OpenAM) OpenAM anvender en AttributeMapper til at udvælge hvilke attributter på brugerens konto (fx AD konto), der mappes til hvilke attributter i det udgående token. Fx på følgende måde dk:gov:saml:attribute:AssuranceLevel=assuranceLevel Hvis man ønsker at anvende statiske værdier, understøttes det fra OpenAM 11 på følgende måde dk:gov:saml:attribute:AssuranceLevel=”3”

JOBFUNKTIONSROLLER ANGIVES SOM OIO-BPP

Jobfunktionsroller i Attributprofilen Base64 enkodet OIO-BPP struktur

Hvordan enkodes én Jobfunktionsrolle PrivilegeGroup = 1 Jobfunktionsrolle CVR nummeret på den kommune der ejer rollen (typisk egen kommune) ID på Jobfunktionsrollen (matcher ID registreret hos KOMBIT)

OIO-BPP er bare en enkelt attribut/claim Identity Provideren skal tilpasses, så den kan danne en OIO- BPP struktur, indeholdende de ID’er på Jobfunktionsroller som medarbejderen er tildelt OIO-BPP strukturen base64 enkodes, og udstedes som en SAML attribut på lige fod med de statiske attributter dk:gov:saml:attribute:Privileges_intermediate

REGISTRERING AF DATAAFGRÆNSNINGER

Statisk registrering af dataafgrænsninger JobfunktionsrolleBrugersystemrolleDataafgrænsning Sagsbehandler i ydelsescenter vest Fuld visning af sager, ydelser og dokumenter KLE = 32.* Org.Enhed = a26e4cdc- 48c8-4b58-b8f2- 6accfc1ef988 Opret Journalnotat på partKLE = 32.* Visning af adviser i overblikKLE = 32.* Org.Enhed = a26e4cdc- 48c8-4b58-b8f2- 6accfc1ef988 Registrering af konkrete værdier direkte i Administrationsmodulet

Dynamisk registrering af dataafgrænsninger JobfunktionsrolleBrugersystemrolleDataafgrænsning SagsbehandlerFuld visning af sager, ydelser og dokumenter KLE = Org.Enhed = arametric arametric Opret Journalnotat på part KLE = Visning af adviser i overblik KLE = Org.Enhed = arametric arametric Registreringen af ”pladsholdere” i Administrationsmodulet

Navnestandard Når en dataafgrænsningsværdi angives med en pladsholder, så skal pladsholderen overholde en navnestandard / / /parametric Fx

ANGIVELSE AF DATAAFGRÆNSNINGSVÆRDIER I TOKEN

Dataafgrænsningsværdier i token Samme som før Dynamiske dataafgrænsningsværdier

Dataafgrænsninger er også attributter/claims Identity Provideren skal tilpasses, så den kan udstede attributter for hver enkelt dataafgrænsning Den konkrete værdi kunne fx aflæses direkte på bruger- objektet, eller på den afdeling/enhed som brugeren er tilknyttet Hvis en Jobfunktionsrolle anvender dynamiske dataafgrænsningsværdier, så SKAL et token der indeholder denne Jobfunktionsrolle også indeholde en konkret værdi for dataafgrænsningen

4. TEST AF IDENTITY PROVIDER

Test mod demo-system I test-miljøet stiller KOMBIT et demo system til rådighed, hvor man kan foretage et login Systemet har ingen anden funktionalitet end login Efter succesfuld login, vises et skærmbillede der viser det token som demo systemet har modtaget I produktion er der ikke et demo-system (endnu…)

Test mod demo-system

Typiske udfordringer Spærrecheck af certifikat fejler (kun test-miljø) En af de 4 krævede attributter mangler NameID ikke på x509 format Anvender sha-1 algoritmen (sha-256 krævet)

Test mod demo-system

SPØRGSMÅL OG SVAR